Sincronizzare i dati delle persone da Google Workspace

Puoi configurare People Search per i tuoi team di lavoro sincronizzando i dati delle persone da Google Workspace. Una volta configurato il datastore People Search e inseriti i dati nell'indice di Vertex AI Search, vengono attivate funzionalità come Knowledge Graph ed elaborazione del linguaggio naturale. In questo modo, la qualità della ricerca migliora e puoi trovare le persone nella directory di Google Workspace tramite l'app web.

Per informazioni sulla directory Google Workspace, consulta la documentazione di Google Workspace:

Prima di iniziare

Prima di poter configurare un datastore People Search, devi:

  • Per applicare il controllo dell'accesso all'origine dati e proteggere i dati in Gemini Enterprise, assicurati di aver configurato il tuo provider di identità.

  • Un amministratore di Google Workspace deve attivare People Search sui dati di Google Workspace:

    1. Accedi alla Console di amministrazione Google con un account amministratore.
    2. Vai a Directory > Impostazioni directory.
    3. Attiva la Condivisione dei contatti.

  • Accedi alla console Google Cloud con lo stesso account che utilizzi per Google Workspace.

  • Se utilizzi controlli di sicurezza, tieni presente le loro limitazioni relative ai dati in Google Workspace, come descritto nella seguente tabella:

    Controllo di sicurezza Tieni presente quanto segue
    Residenza dei dati (DRZ) Gemini Enterprise garantisce la residenza dei dati solo in Google Cloud. Per informazioni sulla residenza dei dati e su Google Workspace, consulta le linee guida e la documentazione sulla conformità di Google Workspace, ad esempio Scegliere la regione in cui vengono archiviati i dati e Sovranità digitale.
    Chiavi di crittografia gestite dal cliente (CMEK) Le tue chiavi criptano solo i dati all'interno di Google Cloud. I controlli di Cloud Key Management Service non si applicano ai dati archiviati in Google Workspace.
    Access Transparency Access Transparency registra le azioni intraprese dal personale Google sul progetto Google Cloud . Dovrai anche esaminare i log di Access Transparency creati da Google Workspace. Per ulteriori informazioni, vedi Eventi dei log di Access Transparency nella documentazione del Centro assistenza per gli amministratori di Google Workspace.

Prima di creare il datastore dei dati personali, devi configurare un service account e la delega a livello di dominio.

Configurare il service account

  1. Verifica di disporre delle autorizzazioni necessarie per creare un service account. Consulta Ruoli richiesti.

  2. Crea un service account in un progettoGoogle Cloud all'interno dell'organizzazione.

  3. (Facoltativo) Salta il passaggio Concedi a questo service account l'accesso al progetto (facoltativo).

    Mostra la sezione Concedi a questo account di servizio l'accesso al progetto (facoltativo) che deve essere saltata.
    Salta il passaggio Concedi a questo account di servizio l'accesso al progetto (facoltativo).

  4. Concedi al service account Discovery Engine (service-PROJECT_NUMBER@gcp-sa-discoveryengine.iam.gserviceaccount.com) l'accesso come Creatore token service account (roles/iam.serviceAccountTokenCreator) e fai clic su Salva.

    Mostra come configurare la sezione Concedi agli utenti l'accesso a questo account di servizio.
    Concedi l'accesso al account di servizio Discovery Engine.

  5. Dopo aver creato il service account, fai clic sulla scheda Dettagli del service account e poi su Impostazioni avanzate.

  6. Copia l'ID client per la delega a livello di dominio.

    Mostra l'ID client nella sezione delle impostazioni avanzate, delega a livello di dominio.
    Copia l'ID client.

Configurare la delega a livello di dominio

  1. Accedi al workspace dell'amministratore Google.
  2. Vai a Sicurezza > Accesso e controllo dei dati > Controlli API.

  3. Fai clic su Gestisci delega a livello di dominio.

    Viene visualizzata la pagina Gestisci delega a livello di dominio.
    Fai clic su Gestisci delega a livello di dominio.

  4. Fai clic su Aggiungi nuovo.

    Evidenzia il link Aggiungi nuovo.
    Fai clic su Aggiungi nuovo.

  5. Nella finestra di dialogo Aggiungi un nuovo ID client, procedi nel seguente modo:

    1. ID client: inserisci l'ID client.
    2. Ambiti OAuth: inserisci https://www.googleapis.com/auth/directory.readonly.
    3. Fai clic su Autorizza.

    Configura le impostazioni di delega a livello di dominio.
    Configura le impostazioni di delega a livello di dominio.

Configurare gli attributi personalizzati

Se hai dati personalizzati sulle persone (noti anche come attributi personalizzati) e vuoi che i dati degli attributi personalizzati vengano visualizzati nei risultati di ricerca, procedi nel seguente modo:

  1. Accedi al workspace dell'amministratore Google.

  2. Fai clic su Directory > Utenti > Altre opzioni > Gestisci attributi personalizzati.

    Gestisci gli attributi personalizzati dei dati delle persone.
    Fai clic su Gestisci attributi personalizzati.

  3. Per rendere ricercabile l'attributo personalizzato, imposta Visibilità per l'attributo su Visibile all'organizzazione.

    Imposta la visibilità dell'attributo personalizzato su Visibile all'organizzazione.
    Imposta la visibilità dell'attributo personalizzato su Visibile all'organizzazione per renderlo ricercabile.

Connettiti utilizzando OAuth

La connessione con OAuth offre un'alternativa alla delega a livello di dominio per autenticare il connettore di ricerca persone. Questo metodo richiede la creazione di un client OAuth per autorizzare il connettore ad accedere ai dati della directory della tua organizzazione. I seguenti passaggi ti guidano nella creazione del client, nella configurazione del connettore e nell'aggiornamento delle credenziali.

  1. Crea un client OAuth

    1. Vai alla console Google Cloud e cerca Credentials.

    2. Fai clic su Crea credenziali.

      Fai clic sul pulsante Crea credenziali.
      Crea credenziali.

    3. Seleziona ID client OAuth dal menu a discesa.

      Seleziona l'ID client OAuth.
      Seleziona l'ID client OAuth.

    4. Seleziona Applicazione web dal menu a discesa Tipo di applicazione.

      Seleziona l'opzione dell'applicazione web.
      Seleziona l'opzione Applicazione web.

    5. Aggiungi un nome per l'ID client OAuth e inserisci l'URI di reindirizzamento autorizzato come https://vertexaisearch.cloud.google.com/oauth-redirect.

    6. Fai clic su Crea e salva le credenziali.

Crea un datastore People Search

Per connettere i dati delle persone a Gemini Enterprise:

Console

  1. Nella console Google Cloud , vai alla pagina Gemini Enterprise.

    Gemini Enterprise

  2. Vai alla pagina Datastore.

  3. Fai clic su Crea datastore.

  4. Nella pagina Seleziona un'origine dati, fai clic su People Search.

    Seleziona il datastore People Search.
    Seleziona il datastore People Search.

  5. Configura i dettagli di autenticazione:

    Puoi eseguire l'autenticazione utilizzando un token di aggiornamento OAuth 2.0 o la delega a livello di dominio.

    • Utilizzo di un token di aggiornamento OAuth 2.0:

      1. Seleziona Token di aggiornamento OAuth 2.0 e aggiungi l'ID client e il client secret che hai creato nei passaggi precedenti.

      2. Fai clic sul pulsante Autentica per dare il consenso per l'ambito https://www.googleapis.com/auth/directory.readonly.

      3. Fornisci un nome per il connettore e fai clic su Crea.

    • Utilizzo della delega a livello di dominio:

      1. Seleziona Delega a livello di dominio.

      2. Inserisci l'email del service account e la chiave privata che hai generato.

      3. Fai clic su Continua.

  6. Aggiorna le credenziali del connettore:

    Devi aggiornare le credenziali client se il token di aggiornamento OAuth è scaduto o se vuoi cambiare i flussi di credenziali per l'importazione dei documenti. Questa procedura è necessaria quando passi dalla delega a livello di dominio a OAuth o da OAuth alla delega a livello di dominio.

    1. Vai al connettore Ricerca persone.

    2. Fai clic su Ripeti l'autenticazione.

      Fai clic sul pulsante Esegui nuovamente l'autenticazione.
      Fai clic sul pulsante Esegui di nuovo l'autenticazione.

    3. Scegli il flusso delle credenziali che vuoi utilizzare.

      Fai clic sul flusso delle credenziali.
      Fai clic sul flusso delle credenziali.

    4. Aggiungi le nuove credenziali e fai clic su Autentica.

    5. Inserisci l'indirizzo email dell'account che recupera i dati delle persone. Se preferisci non utilizzare un account amministratore, puoi utilizzare un account alternativo che abbia accesso ai dati della directory dell'organizzazione.

    6. Inserisci l'email del service account che hai creato in precedenza.

    7. Fai clic su Continua.

    Configura i dettagli di autenticazione.
    Configura i dettagli di autenticazione.

  7. Scegli una regione per il datastore.

  8. Nel campo Nome del tuo datastore, inserisci un nome per il datastore.

  9. Fai clic su Crea.

    La sincronizzazione potrebbe richiedere da diversi minuti a diverse ore, a seconda delle dimensioni dei dati.

Messaggi di errore

La tabella seguente descrive i messaggi di errore che potresti riscontrare durante la sincronizzazione dei dati delle persone utilizzando l'indicizzazione dei dati. Questa tabella include i codici di errore gRPC e i passaggi consigliati per la risoluzione dei problemi.

Codice di errore (gRPC) Messaggio di errore Descrizione Risoluzione dei problemi
9 (Precondizione non riuscita) Autenticazione non riuscita: service account configurato in modo errato. Assicurati che il service account Discovery Engine disponga del ruolo di creatore token service account e che l'ambito di autenticazione del service account di delega a livello di dominio sia configurato correttamente in Google Cloud Admin. Per ulteriori informazioni, vedi https://cloud.google.com/gemini/enterprise/docs/ connect-people#failed-precondition-1. Tutti i documenti sono stati eliminati da Gemini Enterprise. Questo errore si verifica quando al service account Discovery Engine manca il ruolo di creatore token account di servizio o all'account di servizio di delega a livello di dominio manca l'ambito di autenticazione corretto. Verifica che il service account Discovery Engine disponga del ruolo di creatore token service account come descritto nella sezione Configurare il service account e verifica che l'ambito di autenticazione del service account DWD sia configurato correttamente in Admin Google Cloud come descritto nella sezione Configurare la delega a livello di dominio. Concedi nuovamente le autorizzazioni mancanti del service account.
9 (Precondizione non riuscita) Nessun risultato recuperato dopo la sincronizzazione completa. Tutti i documenti sono stati eliminati da Gemini Enterprise. Questo errore si verifica quando la condivisione dei contatti è disabilitata nelle impostazioni della directory della Console di amministrazione. Verifica di aver attivato la condivisione dei contatti per abilitare People Search sui dati di Google Workspace come descritto nella sezione Prima di iniziare.
3 (Argomento non valido) Impossibile scambiare il JWT firmato con il token di accesso. L'account Google Workspace è stato eliminato. Tutti i documenti sono stati eliminati da Gemini Enterprise. Questo errore si verifica quando l'account Google Workspace viene eliminato. Crea un nuovo connettore con un account Google Workspace attivo.
3 (Argomento non valido) ID GAIA non trovato. Autenticazione non riuscita. Questo errore si verifica quando l'account utente non è corretto. Verifica che l'account utente esista e inserisci le credenziali corrette.
8 (Risorsa esaurita) La quota per il progetto è stata superata. Aumenta la quota di documenti per il progetto. Questo errore si verifica quando la quota del progetto viene superata. Aumenta la quota di documenti per il progetto. Per ulteriori informazioni, consulta Quote.
13 (Errore interno) Si è verificato un errore interno. Questo errore si verifica quando si verifica un errore interno. Contattare il team di assistenza.